iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 5
1
Security

資安戰爭 三十六計系列 第 5

資安戰爭 三十六計之第5計:趁火打劫

/images/emoticon/emoticon06.gif《原文注釋》:「敵之害大,就勢取利,剛夬(ㄍㄨㄞˋ)柔也。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 敵之害大,就勢取利:敵方處於危機的時候,要趁機進攻奪取勝利。
(2) 剛夬(ㄍㄨㄞˋ)柔也:「剛」比喻己方,以「柔」比喻敵方,意思就是說乘敵之危,就勢而取勝的意思。

/images/emoticon/emoticon33.gif《出處》:

春秋時,越王勾踐乘吳國內,蟹稻不遺種(螃蟹和稻谷連種子都沒留下,說明發生大旱災,處于危急之中。)而謀攻之,後乘吳王夫差北上,會諸侯於黃池之際,國內空虛,因而出兵吳國,大獲全勝。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

2015~2018 年,有一個叫 SamSam 的變種勒索軟體席捲北美及英國,造成超過 200 家公司、3 千萬美元以上的損失。犯罪者很聰明的鎖定醫療機構及大眾資源服務機構,因為很清楚如果這些機構的電腦關閉,可能導致人命相關損失。據估計,勒索者至少收到 600 萬美元以上贖金。不過,這起案件中意外發現,有兩家所謂的資安公司在趁火打劫。其中一家Proven Data 公司聲稱透過他們「最新研發的技術」,可幫助客戶恢復被勒索的資料,幫他們解鎖。事實上他們是透過支付贖金的方式,從攻擊者處取得解鎖工具。其中關鍵,就在於很多公司或醫療單位,不太願意直接跟勒索病毒的攻擊者打交道,因為這個原因,所以透過資安公司付贖金,事實上並沒有所謂的任何新的技術,因此資安公司也不過是趁機會狠賺一筆交付贖金的服務費用而已。

該篇新聞,請詳閱以下連結:https://technews.tw/2019/05/27/firms-that-promised-high-tech-ransomware-solutions-almost-always-just-pay-the-hackers/

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

從以上的實例延伸到企業,目前很多公司的資訊是外包的,有關於外包資訊商的控管,大部分是採用相互信任關係方式在進行,即使在簽約的時候,合約內都有訂定違反合約的條文、保密合約等等,看起來似乎都在預想的範圍內進行,但是,筆者認為這會出現幾個問題。

1.查證需要花費很多時間,如筆者前幾篇有提到,即使是電腦稽核,也必須要交互比對所有紀錄,以及冗長的內部訪談,甚且要調出錄像或者錄音,抽絲剝繭之後,才能藉由珠絲馬跡裡面,發現問題,其他的不說,訪談這部分就充滿各種不確定性,每個人的說法都不同,甚至過於片面,有些能記得,有些又故意忘記,人不像電腦一樣,光要訪談就是一大考驗。

2.即使發現證據,走上法律訴訟一途,法律訴訟時間、律師費用的耗費,在成本上就不見得能夠拿捏到很準確,況且最後的結果也未必能夠保證勝訴。

以筆者個人所參予過的案子來說,大部分企業都沒有「工作外包不代表責任外包」的觀念,總是認為外包商要負責,其實企業本身所負的責任更大。企業不要忘記,當企業主機、伺服器等等資訊相關的軟硬體出現問題,可能波及的對象很廣,企業自身的客戶、顧客甚至整各產業鏈都會受到影響,甚至如果外包商藉此竊取公司重要商業機密,這牽連的對象,可能連自身都難保,甚至,會公司自己都會被告,因此,筆者提供以下兩種解決方式:

1.保險: 投保相關資安險,以避免當災難發生時,企業無法應付所有的賠償。

2.不定期稽核外包商: 正常情況下,外包商會定期派員到公司來做例行性維護,此時,資訊人員必須要安排,在不定期的時間裡,安排抽核其作業內容、訪談及資安相關事項抽核,並且做成相關紀錄,存檔並保留紀錄。

假設、如果真的不幸發生資安事件,企業除了第一時間通報之外,更重要的是誠實的發佈公告,除了告知社會大眾處理的進度之外,更重要的要能對客戶及社會表達願意承擔的態度,如果企業隱蔽資訊,外界懷疑一定會排山倒海而來的,屆時重創本身企業形象之外,也讓別人趁虛而入,趁火打劫一番,實則傷害會更大。

最後,還是要針對攻守方做個總結,攻擊方發現有機可乘,絕對會趁火打劫,海撈一筆,此時防守方除了訴諸法律,更重要的是公開面對問題,分階段公告處理進度,降低所有可能的傷害。


上一篇
資安戰爭 三十六計之第4計:以逸待勞
下一篇
資安戰爭 三十六計之第6計:聲東擊西
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言